https://www.opennet.ru/openforum/vsluhforumID10/4734.html Шлюз - FreeBSD 7.1, за шлюзом моя сетка с реальными ИР адресами. С одной из моих машин с реальным ИР адресом (веб-сервер) генерируеться множество UDP пакетов на какой-то внешний сервер 86.127.177.105 на порт 80. На моем шлюзе моментально поднимаеться загрузка процессора и система фактически не отвечает.<br>Шлюз - Pentium IV 3.0, 512 ОЗУ. Веб-сервер такой же. Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может завалить шлюз, при этом веб сервер работает?<br><br>ЗЫ: на шлюзе сетевухи Realtek 8139 и 8168, и он обслуживает около 15 вланов и 100 клиентов.<br> https://www.opennet.ru/openforum/vsluhforumID10/4734.html#13 Thu, 11 Nov 2010 08:09:43 GMT &gt;&gt; Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации,<br>&gt;&gt; как защищаться от UDP атак. Тем более что эта не первая<br>&gt; 1) объяснить людям что они идиоты - вообще интересна причина атаки -<br>&gt; вскрыли сервак?<br>&gt; 2) зачем ВЕБ серверу UDP ? оставить исходящие на 53 порт и<br>&gt; входящие, все остальное - дроп<br><br>У меня около 20-ти внешних клиентов, которым я даю Интернет. Как-то лень под каждого настраивать фаервол. Но под некоторых наверное придеться.<br>&gt; 3) по поводу предотвращения - хороший флуд предотвратиь практически нереально - либо<br>&gt; канал загнется, либо машина )<br>&gt; можно например попробовать включить polling, должно разгрузить проц при атаке мелкими пакетами<br><br>Где-то читал что сетевухи реалтек плохо работают с Device_polling. Попробую еще поискать хорошую PCI сетевуху. Может посоветуете какую PCI плату еще можно купить, а то уже все PCI-express<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4734.html#12 Wed, 10 Nov 2010 20:10:24 GMT &gt; Фильровать это очень просто, но нельзя. Хотелось би все таки услишать рекомендации,<br>&gt; как защищаться от UDP атак. Тем более что эта не первая<br><br>1) объяснить людям что они идиоты - вообще интересна причина атаки - вскрыли сервак?<br>2) зачем ВЕБ серверу UDP ? оставить исходящие на 53 порт и входящие, все остальное - дроп<br>3) по поводу предотвращения - хороший флуд предотвратиь практически нереально - либо канал загнется, либо машина )<br>можно например попробовать включить polling, должно разгрузить проц при атаке мелкими пакетами (если сетевух поддерживает) - ну а вообще гуглить по вопросам секурити и тюнинга <br>&gt; атака от этого клиента https://www.opennet.ru/openforum/vsluhforumID10/4734.html#11 Wed, 10 Nov 2010 18:50:42 GMT http://forum.nag.ru/forum/lofiversion/index.php?t12002.html<br> https://www.opennet.ru/openforum/vsluhforumID10/4734.html#10 Wed, 10 Nov 2010 16:18:25 GMT &gt;&gt; Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете.<br>&gt;&gt; Научитесь дочитывать предложение до конца<br>&gt; это у вас такой стиль изложения как будто русский язык в школе<br>&gt; прогуливали<br>&gt;&gt;&gt; думаю? дак сервера уже два?<br>&gt;&gt; Их изначально было два. Надо внимательно тему читать.<br>&gt; ткните меня идиота носом в то место, где четко сказано что у<br>&gt; вас два сервера<br>&gt; надо четко излагать свои мысли<br><br>Ну хорошо, не будем превращать тему в наезды друг на друга. Извините за грубость.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt; Nov 8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80<br>&gt;&gt; in via vlan202<br>&gt;&gt; Nov 8 13:35:03 gate last message repeated 136 times<br>&gt;&gt; Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600<br>&gt;&gt; Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202<br>&gt;&gt; Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80<br>&gt;&gt; in via vlan202<br>&gt;&gt; Nov 8 13:35:03 gate last message repeated 2392 times<br>&gt; таких клиентов фильтр https://www.opennet.ru/openforum/vsluhforumID10/4734.html#9 Wed, 10 Nov 2010 15:54:28 GMT &gt; Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете.<br>&gt; Научитесь дочитывать предложение до конца<br><br>это у вас такой стиль изложения как будто русский язык в школе прогуливали<br>&gt;&gt; думаю? дак сервера уже два?<br>&gt; Их изначально было два. Надо внимательно тему читать.<br><br>ткните меня идиота носом в то место, где четко сказано что у вас два сервера<br>надо четко излагать свои мысли<br><br>&gt;[оверквотинг удален]<br>&gt; in via vlan202<br>&gt; Nov 8 13:35:02 gate last message repeated 14637 times<br>&gt; Nov 8 13:35:02 gate kernel: ipf.: 600 Deny UDP my-client-ip:32774 86.127.177.105:80<br>&gt; in via vlan202<br>&gt; Nov 8 13:35:03 gate last message repeated 136 times<br>&gt; Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32i: 600<br>&gt; Deny UDP my-client-ip:32774 86.127.177.105:80 in via vlan202<br>&gt; Nov 8 13:35:03 gate kernel: ipfw: 600 Deny UDP my-client-ip:32774 86.127.177.105:80<br>&gt; in via vlan202<br>&gt; Nov 8 13:35:03 gate last message repeated 2392 times<br><br>таких клиентов фильтровать наглухо до просветления<br> https://www.opennet.ru/openforum/vsluhforumID10/4734.html#8 Wed, 10 Nov 2010 13:37:51 GMT &gt;&gt;&gt;&gt; Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может &gt; завалить шлюз, при этом веб сервер работает?<br>&gt;&gt;&gt; мотороллер не мой, я просто разместил объяву<br>&gt;&gt; Pahanivo, если по существу не можете говорить, то зачем сюда писать?<br>&gt; задавайте вопросы по существу - будут соответствующие ответы<br>&gt;&gt; Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет,<br><br>Pahanivo, у Вас такой стиль разговора как-будто Вы на рынке грузчиком работаете. Научитесь дочитывать предложение до конца<br><br>&gt; думаю? дак сервера уже два?<br><br>Их изначально было два. Надо внимательно тему читать.<br><br>&gt; man tcpdump<br>&gt;&gt; для шлюза совсем не имеет значения. А назвал я веб-сервер своим,<br>&gt;&gt; потому что сеть моя и у клиента нет админа, и исправлять<br>&gt;&gt; ошибки на клиентском веб сервере пришлось мне. Но я не хочу<br>&gt;&gt; бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить<br>&gt;&gt; свой шлюз.<br>&gt; конечно - зачем лечить баги когда есть костыли<br><br>Атакующий веб-сервер не мой!!!<br><br>&gt;&gt; Может кто-то подс https://www.opennet.ru/openforum/vsluhforumID10/4734.html#7 Wed, 10 Nov 2010 13:09:42 GMT &gt;&gt;&gt; Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может &gt; завалить шлюз, при этом веб сервер работает?<br>&gt;&gt; мотороллер не мой, я просто разместил объяву<br>&gt; Pahanivo, если по существу не можете говорить, то зачем сюда писать?<br><br>задавайте вопросы по существу - будут соответствующие ответы<br>&gt; Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет,<br><br>думаю? дак сервера уже два?<br>man tcpdump<br>&gt; для шлюза совсем не имеет значения. А назвал я веб-сервер своим,<br>&gt; потому что сеть моя и у клиента нет админа, и исправлять<br>&gt; ошибки на клиентском веб сервере пришлось мне. Но я не хочу<br>&gt; бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить<br>&gt; свой шлюз.<br><br>конечно - зачем лечить баги когда есть костыли<br>&gt; Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки<br>&gt; на фаерволе?<br><br>каких udp запросов? может пакетов?<br>надо хотябы проанализировать что там идет<br>&gt; Кстати snort c правилами от Bleeding не обнаружил атаки https://www.opennet.ru/openforum/vsluhforumID10/4734.html#6 Wed, 10 Nov 2010 12:53:06 GMT &gt;&gt; Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может &gt; завалить шлюз, при этом веб сервер работает?<br>&gt; мотороллер не мой, я просто разместил объяву<br><br>Pahanivo, если по существу не можете говорить, то зачем сюда писать?<br>Думаю мой сервер валит шлюз или сервер клиента которому я даю Интернет, для шлюза совсем не имеет значения. А назвал я веб-сервер своим, потому что сеть моя и у клиента нет админа, и исправлять ошибки на клиентском веб сервере пришлось мне. Но я не хочу бегать к клиенту и исправлять бесплатно его ошибки, а хочу обезопасить свой шлюз. <br><br>Может кто-то подсказать можно ли защитится от множества UDP запросов, кроме блокировки на фаерволе?<br><br>Кстати snort c правилами от Bleeding не обнаружил атаки<br> https://www.opennet.ru/openforum/vsluhforumID10/4734.html#5 Wed, 10 Nov 2010 12:15:15 GMT &gt; Процес который генерирует UDP запросы нашел, но как мой веб-сервер сам в одиночку может &gt; завалить шлюз, при этом веб сервер работает?<br><br>мотороллер не мой, я просто разместил объяву<br>